В России эпидемия Trojan.Winlock. Заражены миллионы пользователей

Тема в разделе "Новости информационной безопасности", создана пользователем Aleksa106, 24 янв 2010.

  1. Aleksa106
    Оффлайн

    Aleksa106 Активный пользователь

    Сообщения:
    14
    Симпатии:
    30
    В России эпидемия Trojan.Winlock. Заражены миллионы пользователей

    24 января 2009 года г. Москва

    Компания «Доктор Веб» – российский разработчик средств информационной безопасности – предупреждает о том, что эпидемия троянцев семейства Trojan.Winlock набирает обороты. В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. Предположительные потери составляют сотни миллионов рублей.

    Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении c 300-600 рублями).

    С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников – новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. Троянцы уже не удаляются автоматически из системы в прошествии некоторого времени, но приобретают дополнительный функционал. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы).

    Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (авторы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

    Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.

    В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.

    Для помощи пострадавшим компания «Доктор Веб» в специальном разделе своего официального сайта собрала всю актуальную информацию об этих троянцах. В частности, форму разблокировки, которая помогает бесплатно найти необходимый код. Только за первые 2 дня работы этого проекта, его посетили сотни тысяч пользователей.

    Компания «Доктор Веб» считает необходимым привлечь внимание официальных властей к этой проблеме. Их помощь в обнаружении людей, регистрирующих номера, на которые злоумышленники требуют отправлять платные SMS-сообщения, могла бы уменьшить число потенциальных жертв. Кроме того, мы призываем операторов сотовой связи блокировать эти номера по первым же жалобам абонентов.

    Источник

    Добавлено через 1 минуту 16 секунд
    В Компании «Доктор Веб» забыли исправить дату, конечно новость относится к 2010 году...
    и СМС вымогатели это действительно эпидемия, за последний месяц сталкивался уже раз 5... в 2-ух вылечили, 3 раза пользователи отправили СМС. Убытки 2 раза по 300 руб., 1 раз 1000 руб. Хотя в обоих случаях было написано, что стоимость СМС 10 руб (правда со слов пользователей). Причем в одном случае с платного номера пришло СМС, "...подтвердите что Вы посылали СМС сообщение для разблокировки." Пользователь конечно же подтвердил.
    В общем провел разъяснительные беседы.
     
    16 пользователям это понравилось.
  2. Paul-SFL
    Оффлайн

    Paul-SFL Активный пользователь

    Сообщения:
    21
    Симпатии:
    46
    Вирусописатели умнеют, блин. Еще неделю назад для того, чтоб справиться с вымогателем (не знаю точно, правда, к какому семейству он относится - Windows загружается, но троян разворачивает окно почти на весь рабочий стол), хватало убить процессы Process Explorer'om и удалить пару tmp-файлов. Сегодня вот уже столкнулся с новой модификацией, которая загружает свою dll-ку в несколько процессов и постоянно восстанавливает окно трояна после его уничтожения через диспетчер процессов..
     
  3. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    С етим трояном,т.е с этими троянами болшие проблемы в россии вижу . Может стоит пометить тему как "важная" у кого хватает компетенции ?
     
    Последнее редактирование: 24 янв 2010
  4. magirus
    Оффлайн

    magirus Активный пользователь

    Сообщения:
    86
    Симпатии:
    93
    только сегодня другу третий комп помогаю восстановить... (тоже за неделю, со среды прошлой) (по телефону) и после некоторых действий, которые уже произведены.
    эпидемия налицо....
    лично мне в двух случаях помогли сервисы. в одном нашел в профиле юзера, еще в двух - не нашел.
    итого - 2 из 5 систем переустановлены, благо, ничего критичного нет. игры и инет.
    у меня это за нынешнию неделю+выходные.
    (поправил пост.)
     
    Последнее редактирование: 26 янв 2010
  5. Paul-SFL
    Оффлайн

    Paul-SFL Активный пользователь

    Сообщения:
    21
    Симпатии:
    46
    :) Мне помогли AVZ: сначала в менеджере внедренных DLL нашел подозрительную библиотеку, - и Unlocker: зашел в \system32, отсортировал файлы по дате и удалил DLLку и все файлы, созданные в одно время с ней.
     
  6. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    В январе было зафиксировано как минимум 850 000 заражений троянцем Trojan.Winlock

    Согласно опубликованным сегодня статистическим данный компании «Доктор Веб», в январе 2010 года основное количество обращений пользователей по поводу активных заражений было связано с семейством вредоносных программ Trojan.Winlock. Подавляющее большинство схем, использованных злоумышленниками в январе, основывалось на оплате через SMS-сообщения. Также в прошлом месяце были зафиксированы усовершенствованные методы монетизации преступных доходов киберпреступников и новые способы распространения вредоносных программ.

    Основным событием января стало широкое распространение многочисленных модификаций Trojan.Winlock. Данная вредоносная программа после заражения системы отображает поверх всех окон, открытых в Windows, своё окно, которое невозможно закрыть до ввода кода, и препятствует нормальной работе некоторых программ, установленных на компьютере. Злоумышленники предлагают получить данный код с помощью отправки платного SMS-сообщения. Стоимость таких сообщений в январе колебалась от 300 до 600 рублей за разблокировку одного компьютера.

    Сервер статистики компании «Доктор Веб» за январь зафиксировал более 850.000 определений Trojan.Winlock на системах, защищённых антивирусными продуктами Dr.Web (учитываются пользователи Dr.Web Enterprise Suite и услуги «Антивирус Dr.Web»). Эта цифра в 2,15 раза превышает аналогичный показатель декабря 2009 года и в 23,4 раза превышает данные ноября 2009 года. Таким образом, речь идет о широкомасштабной эпидемии Trojan.Winlock в России и Украине. В прошедшем месяце несколько миллионов пользователей заразились этой вредоносной программой.

    Интернет-сообщество в январе не на шутку обеспокоилось проблемой блокировщиков Windows. Результаты широкой огласки проблемы не заставили себя долго ждать. Провайдеры коротких номеров бесплатно предоставляют коды разблокировки пользователям заражённых систем. Сотовые операторы вводят сервисы, позволяющие их клиентам определить точную стоимость SMS‑сообщения перед его отправкой. Антивирусные компании также предоставляют инструменты для противодействия Trojan.Winlock.

    22 января компания «Доктор Веб» открыла специальную страницу сайта, на которой бесплатно генерируются коды разблокировки Windows (за неделю на ней было зарегестрировано более 1 000 000 посещений). Также были выпущены несколько вариантов утилиты Dr.Web CureIt!, с помощью которых можно вылечить заражённый компьютер.

    Лёгкость монетизации доходов, полученных с помощью платных SMS-сообщений, не давала покоя не только авторам многочисленных модификаций Trojan.Winlock. На фоне блокировщиков Windows создавались вредоносные сайты, предлагающие несуществующие услуги и программное обеспечение, обладающее фантастическими свойствами.

    [​IMG]

    Пользователям предлагались онлайновые лжеантивирусы, которые на любом компьютере находили одинаковые вирусы в одних и тех же файлах; перехватчики ICQ- и SMS-сообщений с других телефонов; ПО, позволяющее управлять другими телефонами; мобильные сканеры, якобы «раздевающие» человека, на которого направлена камера мобильного телефона, и другие подобные услуги и ПО.

    В подавляющем большинстве случаев оплата этих «услуг» и ПО производится посредством SMS-сообщений. Правда, в конце января некоторые владельцы подобных вредоносных сайтов стали испытывать проблемы с организацией оплаты через SMS на короткие времена ввиду того, что данные системы оплаты оказались под пристальным вниманием агрегаторов коротких номеров, сотовых операторов и правоохранительных органов из-за эпидемии Trojan.Winlock. Поэтому злоумышленники возвращаются к использовавшимся ранее схемам оплаты (например, с помощью системы электронных платежей WebMoney), а также изобретают новые способы получения денег от пользователей-жертв.

    В январе среди мошенников начала набирать популярность новая схема оплаты услуг со счетов мобильных телефонов. Схема заключается в том, что на сайте, предлагающем услугу, пользователь вводит номер своего мобильного телефона, а в обратном SMS-сообщении получает ссылку, по которой услуга активируется. В дальнейшем деньги за пользование услугой списываются со счёта мобильного телефона автоматически.

    Вредоносность такой схемы заключается в том, что любой человек может ввести номер телефона, не принадлежащего ему, а сообщения со ссылками активации услуги носят, на первый взгляд, безобидный характер. Например, в таких сообщениях может говориться о том, что пользователю прислали фотографию или ссылку на видеоролик. В целях сохранения денежных средств на счетах мобильных телефонов пользователей эксперты настоятельно рекомендует не открывать ссылки, которые приходят в SMS-сообщениях.

    Также в последние недели начала встречаться схема передачи злоумышленникам денег за якобы услуги с помощью звонка на платный телефон длительностью не менее определённого времени.

    В январе злоумышленники использовали новые способы передачи пользователям вредоносных программ. В частности, специалистами «Доктор Веб» были зафиксированы спам-рассылки с вложенными torrent-файлами, с помощью которых пользователю предлагалось загрузить с торрент-трекера, не требующего регистрации, якобы электронные открытки, которые на самом деле являлись вредоносными программами. Почтовые серверы пропускают такие письма, так как сам по себе torrent-файл не содержит вредоносного кода.

    Кроме того, спамеры стали использовать новые способы передачи больших объёмов информации. В частности, фиксировались спам-рассылки к которым были прикреплены mp3-файлы с лекциями, продолжительность которых составляла около часа. Также распространялись спам-сообщения со ссылками на видеоролики, расположенные на сайтах злоумышленников и выложенные на сервисе YouTube.


    источник
     
    4 пользователям это понравилось.
  7. tactic
    Оффлайн

    tactic Активный пользователь

    Сообщения:
    28
    Симпатии:
    38
    Новая тестовая версия Dr.Web CureIt! с инструментами для борьбы с Trojan.Winlock

    Компания «Доктор Веб» сообщила о серьезном обновлении утилиты Dr.Web CureIt!, предназначенной для антивирусной проверки и лечения компьютеров, в том числе, с установленным антивирусом другого производителя. В обновленной версии реализованы средства для эффективной борьбы с троянцами-вымогателями семейства Trojan.Winlock.
    Новый стартер, включенный в утилиту, активизирует самозащиту всех файлов и процессов Dr.Web CureIt! до начала сканирования. Стартер обеспечивает запуск утилиты на альтернативном рабочем столе, что позволяет избежать блокировки ее работы в случае заражения системы вредоносными программами семейства Trojan.Winlock.

    Обновленная бета-версия Dr.Web CureIt! предназначена для работы на компьютерах под управлением операционных систем Windows 2000 и выше (32- и 64-битные версии).
    Скачать бета-версию утилиты

    Источник
     
    8 пользователям это понравилось.
  8. tactic
    Оффлайн

    tactic Активный пользователь

    Сообщения:
    28
    Симпатии:
    38
    Вот так Trojan.Winlock начинает свою работу :)

    [​IMG]
     
  9. Suta
    Оффлайн

    Suta Активный пользователь

    Сообщения:
    2
    Симпатии:
    2
    У меня несколько компов товарищей уже раза подва заразились. Правда все удалось вылечить. Спасибо этому сайту. Благо дельные рекомендации дают на нём
     
    2 пользователям это понравилось.
  10. magirus
    Оффлайн

    magirus Активный пользователь

    Сообщения:
    86
    Симпатии:
    93
    tactic,
    вроде это немного из другой оперы, лжеантивирусы.
     

Поделиться этой страницей